CN110933106A - Pvlan隔离方法、装置、电子设备及存储介质 - Google Patents
Pvlan隔离方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110933106A CN110933106A CN201911290667.9A CN201911290667A CN110933106A CN 110933106 A CN110933106 A CN 110933106A CN 201911290667 A CN201911290667 A CN 201911290667A CN 110933106 A CN110933106 A CN 110933106A
- Authority
- CN
- China
- Prior art keywords
- vlan
- port
- pvlan
- isolation
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/66—Layer 2 routing, e.g. in Ethernet based MAN's
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Abstract
本申请提供一种PVLAN隔离方法、装置、电子设备及存储介质,涉及网络通信技术领域。所述方法包括:将PVLAN域内的PVLAN端口加入到指定VLAN中,所述指定VLAN包括主VLAN、群体VLAN和隔离VLAN;分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口进行成员属性配置;配置二层转发域转换表项,分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口收到的报文进行二层转发域的转换;针对所述主VLAN、所述群体VLAN和所述隔离VLAN设置非法二层转发域。通过上述方法结合二层转发域转换表项和二层转发域标识配置的方式实现了PVLAN隔离报文发送特性,降低了PVLAN隔离对芯片硬件的依赖性,减少对芯片硬件及计算资源的占用。
Description
技术领域
本申请涉及网络通信技术领域,具体而言,涉及一种PVLAN隔离方法、装置、电子设备及存储介质。
背景技术
在传统的以太网中一个VLAN内的用户之间可以二层通信,而且一个VLAN有很多用户,这样会有很多隐患出现,所以传统的解决方法是一个用户划分一个VLAN,而这样又会导致VLAN资源和IP资源的浪费。因此出现了PVLAN。
PVLAN的英文全称为Private Virtual Local Area Network,译为私有虚拟局域网。PVLAN是一种电脑网络技术,它包含被限制的交换机端口,使得它们只能与给定的上行链路通信,用两层VLAN结构,即主VLAN(Primary VLAN)和次VLAN(Secondar VLAN),PrimaryVLAN一般与上行设备(运营商网络)相连,Secondary VLAN一般与下行设备(用户接入网络)相连。其中,受限端口称为私有端口。
在PVLAN概念中交换机端口的VLAN类型通常包括:主VLAN和次VLAN。次VLAN根据二层转发规则的不同又分为隔离VLAN(Isolated VLAN)和群体VLAN(Community VLAN)。当Primary VLAN和Secondary VLAN建立关联关系之后,Secondary VLAN内的成员端口可以和Primary VLAN内的成员端口直接进行二层通信。
PVLAN各类型端口之间的隔离需要满足的条件为:Primary VLAN可以和IsolatedVLAN、Community VLAN通信;同1个Isolated VLAN内成员端口、不同Isolated VLAN内的成员端口互相隔离;同1个Community VLAN内的成员端口可以二层通信,但与其他IsolatedVLAN和Community VLAN内的成员端口相互隔离。但是现有技术中在实现上述端口通信方式时,要么使用芯片本身的PVLAN特性,要么使用大量访问控制表(Access Control Lists,ACL)实现不同PVLAN类型端口间的隔离,要么使用大量ACL和大量端口隔离表来实现,需要处理的PVLAN业务逻辑较为复杂,依赖于硬件性能,会占用较多的芯片资源。
发明内容
有鉴于此,本申请实施例的目的在于提供一种PVLAN隔离方法、装置、电子设备及存储介质,以改善现有技术中存在的实现PVLAN隔离通信需要使用大量ACL和大量端口隔离表来实现,需要处理的PVLAN业务逻辑较为复杂,依赖于硬件性能,会占用较多的芯片资源的问题。
本申请实施例提供了一种PVLAN隔离方法,所述方法包括:将PVLAN域内的PVLAN端口加入到指定VLAN中,所述指定VLAN包括主VLAN、群体VLAN和隔离VLAN;分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口进行属性配置,用于使任一PVLAN端口接收或转发指定VLAN标识报文,所述指定VLAN标识报文为VLAN标识与所述任一PVLAN端口的成员属性配置相匹配的VLAN报文;配置二层转发域转换表项,分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口收到的报文进行二层转发域转换,用于使接收到所述指定VLAN标识报文的PVLAN端口将所述指定VLAN标识报文中满足二层转发域转换表项的转发报文向所述二层转发域包含的所有PVLAN端口转发,以使所有PVLAN端口均能接收到所述二层转发域转发的所述转发报文;将所述主VLAN、所述群体VLAN和所述隔离VLAN的二层转发域设置为非法二层转发域,用于使接收到所述指定VLAN标识报文的PVLAN端口丢弃所述指定VLAN标识报文中不满足所述二层转发域转换表项的报文。
在上述实现方式中,结合二层转发域转换表项和二层转发域标识配置的方式实现了PVLAN隔离报文发送特性,降低了对芯片硬件的依赖性,使得更多的不支持PVLAN特性的低端交换芯片都能支持PVLAN功能。同时,在支持PVLAN功能时尽可能少的占用芯片硬件资源,减少上层业务的处理逻辑,提高了交换设备性能。
可选地,所述将PVLAN域内的PVLAN端口加入到指定VLAN中,包括:将主VLAN成员端口加入所述主VLAN、所述群体VLAN、所述隔离VLAN中;将群体VLAN成员端口加入所述主VLAN、所述群体VLAN中;将隔离VLAN成员端口加入所述主VLAN中。
在上述实现方式中,分别将主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口加入指定的VLAN中,用于对PVLAN端口收到或转发出去的报文进行入口或出口过滤。
可选地,所述分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口进行属性配置,包括:分别设置所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的基于端口的虚拟局域网标识;分别设置所述PVLAN域内的所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的入口和出口VLAN过滤属性。
在上述实现方式中,通过基于端口的虚拟局域网标识及过滤属性的设置,限定了untag或带不同VLAN标识的报文在不同PVLAN成员端口之间的传输方式,以较为简单的控制逻辑方便、快捷地实现了PVLAN需要的隔离传输模式。
可选地,所述基于端口的虚拟局域网标识为PVID,所述分别设置所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的基于端口的虚拟局域网标识,包括:将所述主VLAN的VLAN标识作为所述主VLAN成员端口的PVID;将所述群体VLAN的VLAN标识作为所述群体VLAN成员端口的PVID;将所述隔离VLAN的VLAN标识作为所述隔离VLAN成员端口的PVID。
在上述实现方式中,通过PVID的设置,当主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口收到的untag报文时,进入交换芯片后会给untag报文加上1层PVID的VLAN标识,这样untag报文与带PVID VLAN标识的报文会做相同的处理。
可选地,所述分别设置所述PVLAN域内的所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的入口和出口VLAN过滤属性,包括:使能所述主VLAN成员端口、所述群体VLAN成员端口的入口VLAN过滤和出口VLAN过滤,用于使所述主VLAN成员端口对不是主VLAN的标识、群体VLAN的标识或隔离VLAN的标识的VLAN标识的报文进行入口和出口过滤,使所述群体VLAN成员端口对不是主VLAN的标识、群体VLAN的标识的VLAN标识的报文进行过滤;使能所述隔离VLAN成员端口的出口VLAN过滤,关闭所述隔离VLAN成员端口的入口VLAN过滤。
在上述实现方式中,针对主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口进行过滤属性的配置,使各成员端口能够基于PVLAN需要实现的收发规则从入口接收或从出口转发出去符合规则的报文,从而提高了报文转发的准确性。
可选地,所述配置二层转发域转换表项,分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口收到的报文进行二层转发域转换,包括:在二层转发域转换表项中,判断所述主VLAN成员端口收到报文的VLAN标识为所述主VLAN的VLAN标识作为第一匹配条件,将所述第一匹配条件对应的动作设置为将所述二层转发域的标识设置为包含所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的二层转发域;在二层转发域转换表项中,判断所述群体VLAN成员端口收到报文的VLAN标识为所述群体VLAN的VLAN标识作为第二匹配条件,将所述第二匹配条件对应的动作设置为将所述二层转发域的标识设置为包含所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的二层转发域;在二层转发域转换表项中,判断所述隔离VLAN成员端口收到报文的VLAN标识为所述隔离VLAN的VLAN标识作为第三匹配条件,将所述第三匹配条件对应的动作设置为将所述二层转发域的标识设置为包含所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的二层转发域。
在上述实现方式中,通过二层转发域转换表项的匹配实现了每个成员端口均能通过二层转发域向其他成员端口转发符合PVLAN隔离传输规则的报文,不需要对隔离表项、端口位图等进行复杂操作就能够具备上述PVLAN隔离功能,从而降低了对芯片硬件的依赖性,同时,在支持PVLAN功能时尽可能少的占用芯片硬件资源,减少上层业务的处理逻辑,提高了交换设备性能。
可选地,所述针对所述主VLAN、所述群体VLAN和所述隔离VLAN设置非法二层转发域,所述非法二层转发域不包含任何端口,包括:将所述主VLAN的二层转发域设置为指定非法转发域;将所述群体VLAN的二层转发域设置为所述指定非法转发域;将所述隔离VLAN的二层转发域设置为所述指定非法转发域。
在上述实现方式中,通过设置非法二层转发域避免所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口收到不符合二层转换表项的报文从设备转发出去,提高了PVLAN隔离方法的准确性。
本申请实施例还提供了一种PVLAN隔离装置,所述装置包括:端口划分模块,用于将PVLAN域内的PVLAN端口加入到指定VLAN中,所述指定VLAN包括主VLAN、群体VLAN和隔离VLAN;成员属性配置模块,用于分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的PVLAN端口进行成员属性配置,以使任一PVLAN端口接收或转发指定VLAN标识报文,所述指定VLAN标识报文为VLAN标识与所述任一PVLAN端口的成员属性配置相匹配的VLAN报文;转发域设置模块,用于配置二层转发域转换表项,用于分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口收到的报文进行二层转发域转换,以使接收到所述指定VLAN标识报文的PVLAN端口将所述指定VLAN标识报文中满足二层转发域转换表项的转发报文向所述二层转发域包含的所有PVLAN端口转发,以使所有PVLAN端口均能接收到所述二层转发域转发的所述转发报文;非法转发域配置模块,用于将所述主VLAN、所述群体VLAN和所述隔离VLAN的二层转发域设置为非法二层转发域,用于使接收到所述指定VLAN标识报文的PVLAN端口丢弃所述指定VLAN标识报文中不满足所述二层转发域转换表项的报文。
在上述实现方式中,结合二层转发域转换表项和二层转发域标识配置的方式实现了PVLAN隔离报文发送特性,降低了对芯片硬件的依赖性,使得更多的不支持PVLAN特性的低端交换芯片都能支持PVLAN功能。同时,在支持PVLAN功能时尽可能少的占用芯片硬件资源,减少上层业务的处理逻辑,提高了交换设备性能。
可选地,所述端口划分模块具体用于:将主VLAN成员端口加入所述主VLAN、所述群体VLAN、所述隔离VLAN中;将群体VLAN成员端口加入所述主VLAN、所述群体VLAN中;将隔离VLAN成员端口加入所述主VLAN中。
在上述实现方式中,分别将主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口加入对应的VLAN中,使得PVLAN端口收到的报文根据端口加入的vlan进行入口VLAN过滤,从PVLAN端口转发出去的报文根据端口加入的vlan进行出口VLAN过滤。
可选地,所述成员属性配置模块具体用于:分别设置所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的基于端口的虚拟局域网标识;分别设置所述PVLAN域内的所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的入口和出口VLAN过滤属性。
在上述实现方式中,通过基于端口的虚拟局域网标识及过滤属性的设置,限定了VLAN标识不同的报文在不同PVLAN成员端口之间的传输方式,以较为简单的控制逻辑方便、快捷地实现了PVLAN需要的隔离传输模式。
可选地,所述基于端口的虚拟局域网标识为PVID,所述成员属性配置模块具体用于:将所述主VLAN的VLAN标识作为所述主VLAN成员端口的PVID;将所述群体VLAN的VLAN标识作为所述群体VLAN成员端口的PVID;将所述隔离VLAN的VLAN标识作为所述隔离VLAN成员端口的PVID。
在上述实现方式中,在PVLAN端口收到untag报文后交换芯片会自动给报文加上1层PVID VLAN标识,untag报文与带PVID VLAN的报文会做相同的处理。
可选地,所述成员属性配置模块具体用于:使能所述主VLAN成员端口、所述群体VLAN成员端口的入口VLAN过滤和出口VLAN过滤,用于使所述主VLAN成员端口对不是主VLAN的标识、群体VLAN的标识或隔离VLAN的标识的VLAN标识的报文进行入口和出口过滤,使所述群体VLAN成员端口对不是主VLAN的标识、群体VLAN的标识的VLAN标识的报文进行过滤;使能所述隔离VLAN成员端口的出口VLAN过滤,关闭所述隔离VLAN成员端口的入口VLAN过滤。
在上述实现方式中,针对主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口进行过滤属性的配置,使各成员端口能够基于PVLAN需要实现的收发规则从入口接收或从出口转发出去符合规则的报文,从而提高了报文转发的准确性。
可选地,所述转发域设置模块具体用于:在二层转发域转换表项中,将所述主VLAN成员端口收到报文的VLAN标识为所述主VLAN的VLAN标识作为第一匹配条件,将所述第一匹配条件对应的动作设置为将所述二层转发域的标识设置为包含所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的二层转发域;在二层转发域转换表项中,将所述群体VLAN成员端口收到报文的VLAN标识为所述群体VLAN的VLAN标识作为第二匹配条件,将所述第二匹配条件对应的动作设置为将所述二层转发域的标识设置为包含所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的二层转发域;在二层转发域转换表项中,将所述隔离VLAN成员端口收到报文的VLAN标识为所述隔离VLAN的VLAN标识作为第三匹配条件,将所述第三匹配条件对应的动作设置为将所述二层转发域的标识设置为包含所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的二层转发域。
在上述实现方式中,通过二层转发域转换表项的匹配实现了每个成员端口均能通过二层转发域向其他成员端口转发符合PVLAN隔离传输规则的报文,不需要对隔离表项、端口位图等进行复杂操作就能够具备上述PVLAN隔离功能,从而降低了对芯片硬件的依赖性,同时,在支持PVLAN功能时尽可能少的占用芯片硬件资源,减少上层业务的处理逻辑,提高了交换设备性能。
可选地,所述非法转发域配置模块具体用于:将所述主VLAN的二层转发域设置为指定非法转发域,其中所述指定非法转发域不包含任何端口;将所述群体VLAN的二层转发域设置为所述指定非法转发域;将所述隔离VLAN的二层转发域设置为所述指定非法转发域。
在上述实现方式中,通过设置非法二层转发域避免所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口收到不符合二层转换表项的报文从设备转发出去,提高了PVLAN隔离方法的准确性。
本申请实施例还提供了一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述任一实现方式中的步骤。
本申请实施例还提供了一种可读取存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述任一实现方式中的步骤。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种PVLAN隔离方法的流程示意图;
图2为本申请实施例提供的一种端口成员属性配置的流程示意图;
图3为本申请实施例提供的一种二层转发域配置步骤的流程示意图;
图4为本申请实施例提供的一种端口A的具体报文处理流程的示意图;
图5为本申请实施例提供的一种端口B的具体报文处理流程的示意图;
图6为本申请实施例提供的一种端口C的具体报文处理流程的示意图;
图7为本申请实施例提供的一种PVLAN隔离装置的模块示意图。
图标:20-PVLAN隔离装置;21-端口划分模块;22-成员属性配置模块;23-转发域设置模块;24-非法转发域配置模块。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
首先对PVLAN隔离特性进行举例说明,例如主VLAN为的VLAN标识为VLAN 100,主VLAN成员端口包括端口A,端口A的PVID为VLAN100。群体VLAN的VLAN标识为VLAN 200,群体VLAN成员端口包括端口B,端口B的PVID为VLAN 200。隔离VLAN的VLAN标识为VLAN300,隔离VLAN成员端口包括端口C,端口C的PVID为VLAN 300。端口A、B、C之间报文通信行为应如下表1所示:
表1
经本申请人研究发现,现有的实现PVLAN隔离特性的方案通常使用芯片本身的PVLAN特性,或使用大量ACL实现不同PVLAN类型端口间的隔离,或使用大量ACL和大量端口隔离表来实现,本实施例中依次将上述方式列为现有方式1、现有方式2和现有方式3。具体地,现有方式1的常用方案对芯片硬件有较高要求,现有方式2的常用方案在极限情况下需要使用162条ACL硬件资源,现有方式3的常用方案需要使用54条VLAN转换(VLANTranslation)表项和53条端口隔离表项,从硬件资源占用方面来看比较耗费表项。
另一方面,当有端口从PVLAN中退出时,现有方式2需要删除3条硬件ACL表项,现有方式3需要删除1条VLAN Translation表项和1条端口隔离表项,以及修改其他端口隔离表项中的端口位图;当端口加入PVLAN功能,也是同理的操作。因此,从方案的复杂性来看,现有方式2和现有方式3的上层PVLAN业务的处理逻辑也较为复杂。
为了解决上述问题,本申请实施例提供了一种PVLAN隔离方法,请参考图1,图1为本申请实施例提供的一种PVLAN隔离方法的流程示意图。该PVLAN隔离方法的具体步骤可以如下:
步骤S11:将PVLAN域内的PVLAN端口加入到指定VLAN中,指定VLAN包括主VLAN、群体VLAN和隔离VLAN。
VLAN本质就是指一个网段,之所以叫做虚拟的局域网,是因为它是在虚拟的路由器的接口下创建的网段。本步骤将PVLAN域内的PVLAN端口加入到指定VLAN中,就是将PVLAN域内属于不同网段的PVLAN端口加入至各自所属的网段中。
具体地,上述步骤S11具体可以包括:将主VLAN成员端口加入主VLAN、群体VLAN、隔离VLAN中;将群体VLAN成员端口加入主VLAN、群体VLAN中;将隔离VLAN成员端口加入主VLAN中。
步骤S12:分别对主VLAN、群体VLAN和隔离VLAN对应的成员端口进行属性配置。
本步骤通过本步骤S12使任一PVLAN成员端口接收或转发指定VLAN标识报文,指定VLAN标识报文为VLAN标识与任一成员端口的属性配置相匹配的VLAN报文。
作为一种可选的实施方式,步骤S12具体可以包括:
步骤S121:分别设置主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的基于端口的虚拟局域网标识。
其中,基于端口的虚拟局域网标识为PVID,PVID的作用是在交换机从外部接受到可以接受Untagged(不带标签)数据帧的时候给数据帧添加TAG标记用的。PVID的英文全称为Port-base VLAN ID,是表示网络通信中基于端口的VLAN ID,一个端口可以属于多个VLAN,但是只能有一个PVID,收到一个不带tag头的数据包时,会打上PVID所表示的VLAN号,视同该VLAN的数据包处理。其中,VLAN ID即为本实施例中可选用的VLAN标识中的一种。
具体地,请参考图2,图2为本申请实施例提供的一种端口成员属性配置的流程示意图,该步骤S121具体可以包括如下子步骤:
步骤S1211:将主VLAN的VLAN标识作为主VLAN成员端口的PVID。
步骤S1212:将群体VLAN的VLAN标识作为群体VLAN成员端口的PVID。
步骤S1213:将隔离VLAN的VLAN标识作为隔离VLAN成员端口的PVID。
应当理解的是,上述主VLAN的VLAN标识、群体VLAN的VLAN标识与隔离VLAN的VLAN标识都不相同,因此主VLAN成员端口的PVID、群体VLAN成员端口的PVID和隔离VLAN成员端口的PVID也都不相同。
步骤S122:分别设置PVLAN域内的主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的入口和出口VLAN过滤属性。
配置报文过滤时可以指定报文过滤的生效范围,一般分为仅对三层转发的报文生效或对所有报文生效,即通过VLAN接口进行三层转发的报文和通过VLAN接口对应的物理接口进行二层转发的报文均生效。本实施例可以采用后者报文过滤的生效范围。
进一步地,上述过滤属性还包括了入口过滤和出口过滤,入口过滤基于进入端口的报文中带有的VLAN信息判断该端口中是否允许相应VLAN ID位的报文通过,若允许则接收此报文,否则丢弃此报文;出口过滤基于从端口转发出去的报文中带有的VLAN信息判断该端口中是否允许相应的VLAN ID位的报文转发出去,若允许则从端口转发出去,否则丢弃此报文。
具体地,本实施例中对主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的过滤属性设置方式可以如下:
步骤S1221:使能主VLAN成员端口、群体VLAN成员端口的入口VLAN过滤和出口VLAN过滤。
步骤S1222:使能隔离VLAN成员端口的出口VLAN过滤,关闭隔离VLAN成员端口的入口VLAN过滤。
其中,主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口中每个类型的成员端口入口VLAN过滤和出口VLAN过滤的使能规则是相同的,即入口VLAN过滤是在报文进入交换芯片时,需要对指定VLAN标识报文进行过滤,出口VLAN过滤是报文从交换芯片转发出去时,也需要对该指定VLAN标识报文进行过滤。
上述指定VLAN标识报文,是指VLAN标识为指定VLAN标识的报文,后续说明中同理,在此不再赘述。
应当理解的是,针对每个类型的成员端口的过滤规则是不同的,主VLAN成员端口允许主VLAN标识报文、群体VLAN标识报文和隔离VLAN标识报文通过,因此主VLAN成员端口使能入口VLAN过滤和出口VLAN过滤后,仅能进入或转发主VLAN标识报文、群体VLAN标识报文和隔离VLAN标识报文,携带其他VLAN标识的报文会被入口或出口过滤掉。群体VLAN成员端口允许主VLAN标识报文和群体VLAN标识报文通过,携带隔离VLAN标识或其他VLAN标识的报文会被入口或出口过滤掉。隔离VLAN成员端口则不对报文进行入口VLAN过滤。
步骤S13:配置二层转发域转换表项,分别对主VLAN、群体VLAN和隔离VLAN对应的成员端口收到的报文进行二层转发域转换。
本实施例中的二层指的是数据链路层,二层转发域则是在二层转发域中进行数据转发时该数据链路层能够接收到这个数据的范围。
具体地,报文在二层转发域中进行转发时,通常二层交换机需要在MAC(MediaAccess Control,媒体存取控制位址)地址表中查找与帧目的MAC地址匹配的表项,从而将帧从相应接口转发出去。而二层转发与VLAN配合时,可以是基于报文的VLAN标识在二层转发域转换表项中确定匹配表项,在完成匹配时将其转发至指定二层转发域标识的二层转发域中的成员端口。
可选地,本实施例中的二层转发域转换表项可以是VLAN Translation表项。
具体地,请参考图3,图3为本申请实施例提供的一种二层转发域配置步骤的流程示意图,该步骤具体可以包括如下子步骤:
步骤S131:在二层转发域转换表项中,将主VLAN成员端口进入的报文的VLAN标识为主VLAN的VLAN标识作为第一匹配条件,将第一匹配条件对应的动作设置为将二层转发域的标识设置为包含主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的二层转发域。
步骤S132:在二层转发域转换表项中,将群体VLAN成员端口进入的报文的VLAN标识为群体VLAN的VLAN标识作为第二匹配条件,将第二匹配条件对应的动作设置为将二层转发域的标识设置为包含主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的二层转发域。
步骤S133:在二层转发域转换表项中,将隔离VLAN成员端口进入的报文的VLAN标识为隔离VLAN的VLAN标识作为第三匹配条件,将第三匹配条件对应的动作设置为将二层转发域的标识设置为包含主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的二层转发域。
本实施例对二层转发域完成上述配置后,还需要将主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口均加入到包含主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的二层转发域中。当主VLAN成员端口在接收到VLAN标识为主VLAN标识的报文或untag报文时将二层转发域的标识转换为包含主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的二层转发域,从而在该二层转发域中转发该报文;群体VLAN成员端口在接收到VLAN标识为群体VLAN标识的报文或untag报文时将二层转发域的标识转换为包含主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的二层转发域,从而在该二层转发域中转发该报文;隔离VLAN成员端口在接收到VLAN标识为隔离VLAN标识的报文或untag报文时将二层转发域的标识转换为包含主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的二层转发域,从而在该二层转发域中转发该报文。
步骤S14:将主VLAN、群体VLAN和隔离VLAN的二层转发域设置为非法二层转发域。
在报文的VLAN标识无法在二层转发域转换表项中完成匹配时,则进入该非法二层转发域以丢弃该报文,所述的非法二层转发域不包含任何端口。
具体地,本实施例中进行非法二层转发域的设置步骤可以包括:
步骤S141:将主VLAN的二层转发域设置为不指定非法转发域。
步骤S142:将群体VLAN的二层转发域设置为指定非法转发域。
步骤S143:将隔离VLAN的二层转发域设置为指定非法转发域。
应当理解的是,在其他实施例中步骤S141、S142和S143中的非法二层转发域的标识可使用同一个转发域,并且该转发域没有任何成员端口。
下面通过举例说明对PVLAN隔离方法的执行步骤进行说明:
假设PVLAN域中的主VLAN的标识为100,群体VLAN的标识为200,隔离VLAN的标识为300,主VLAN成员端口为端口A,群体VLAN成员端口为端口B,隔离VLAN成员端口为端口C。
第一步:将端口A加入到VLAN 100、VLAN 200和VLAN 300中;将端口B加入到VLAN100、VLAN 200中;将端口C加入到VLAN 100中。
第二步:将端口A的PVID设置为100,端口B的PVID设置为200,端口C的PVID设置为300。
第三步:使能端口A和端口B的入口VLAN过滤和出口VLAN过滤,关闭端口C的入口VLAN过滤,使能端口C的出口VLAN过滤,以使端口A对VLAN标识为100、200、300的报文或untag报文以外的报文进行入口和出口过滤,使端口B对VLAN标识为100、200的报文或untag报文以外的报文进行入口和出口过滤,使端口C对VLAN标识为100的报文以外的报文进行出口过滤。
第四步:下发二层转发域转换表项,在该表项中匹配端口A接收到VLAN标识为100的报文时修改二层转发域标识为100,端口B接收到VLAN标识为200的报文时修改二层转发域标识为100,端口C接收到VLAN标识为300的报文时修改二层转发域标识为100。二层转发域100为合法二层转发域。
第五步:将端口A、B、C都加入至合法的二层转发域100中。
第六步:设置主VLAN、群体VLAN和隔离VLAN的二层转发域为非法二层转发域5000。
在完成上述配置后,该PVLAN域内端口收到报文处理流程如下:
当主VLAN成员端口A收到untag报文,匹配二层转发域转换表项,mac地址学习在二层转发域100上,并在二层转发域100中转发,因此端口B和端口C都能收到报文。
当主VLAN成员端口A收到带VLAN 100tag的报文,匹配二层转发域转换表项,mac地址学习在二层转发域100上,并在二层转发域100中转发,因此端口B和端口C都能收到报文。其中,带VLAN 100tag(标签)的报文即是VLAN标识为100的报文。
当主VLAN成员端口A收到带其他VLAN tag(如VLAN 200、VLAN 300、VLAN 400等等)的报文,由于匹配不上二层转发域转换表项,报文会进入非法二层转发域5000,因此报文被丢弃。
当群体VLAN成员端口B收到untag报文,匹配二层转发域转换表项,mac地址学习在二层转发域100上,并在二层转发域100中转发,端口A可以收到报文,端口C会因为报文经过出口VLAN过滤而收不到报文。
当群体VLAN成员端口B收到带VLAN 200tag报文,匹配二层转发域转换表项,mac地址学习在二层转发域100上,并在二层转发域100中转发,端口A可以收到报文,端口C会因为报文经过出口VLAN过滤而收不到报文。
当群体VLAN成员端口B收到带其他VLAN tag(如VLAN 100、VLAN300、VLAN 400等)的报文,由于匹配不上二层转发域转换表项,报文会进入非法二层转发域5000,因此报文被丢弃。
当隔离VLAN成员端口C收到untag报文,虽然端口C没有加入到VLAN300中,但是端口C关闭了入口VLAN过滤,所以报文不会在入口VLAN过滤时丢弃。接着,匹配二层转发域转换表项,mac地址学习在二层转发域100上,并在二层转发域100中转发,因此端口A能收到报文,端口B会因为报文经过出口VLAN过滤而收不到报文。
当隔离VLAN成员端口C收到带VLAN 300tag报文,虽然端口C没有加入到VLAN 300中,但是端口C关闭了入口VLAN过滤,所以报文不会在入口VLAN过滤时丢弃。接着匹配二层转发域转换表项,mac地址学习在二层转发域100上,并在二层转发域100中转发,因此端口A能收到报文,端口B会因为报文经过出口VLAN过滤而收不到报文。
当隔离VLAN成员口C收到带其他VLAN tag(如VLAN 100、VLAN200、VLAN 400等等)的报文,由于匹配不上二层转发域转换表项,报文会进入非法二层转发域5000,因此报文被丢弃。
上述端口A、B、C的报文处理流程可参考图4、5、6,图4为本申请实施例提供的一种端口A的具体报文处理流程的示意图,图5为本申请实施例提供的一种端口B的具体报文处理流程的示意图,图6为本申请实施例提供的一种端口C的具体报文处理流程的示意图。其中,二层转发域转换表项中填充图案的为针对现有技术中的方案,现有方式1虽然不需要下发本申请实施例中的二层转发域转换表项和二层转发域标识,但是对芯片硬件要求较高,需要芯片硬件本身支持PVLAN特性。现有方式2实现PVLAN域内端口间隔离,需要下发方案中的ACL表项,极限情况下需要占用162条表项,而本实施例极限情况下占用54条二层转发域转换表项,对比来说现有方式2占用了多两倍的硬件表项。现有方式3则需要下发VlanTranslation表项和端口隔离表项,极限情况下,需要占用54条VLANTranslation表项和53条端口隔离表项,对比来说,现有方式3占用了多一倍的硬件表项。因此,本实施例提供的PVLAN隔离方法既降低了芯片对硬件的依赖性,又尽可能少的占用芯片硬件资源,同时使得上层业务逻辑处理更加简单,对整体设备性能提升有一定的作用。
为了配合上述PVLAN隔离方法,本实施例还提供了一种PVLAN隔离装置20,请参考图7,图7为本申请实施例提供的一种PVLAN隔离装置的模块示意图。
PVLAN隔离装置20包括:
端口划分模块21,用于将PVLAN域内的PVLAN端口加入到指定VLAN中;
成员属性配置模块22,用于分别对主VLAN、群体VLAN和隔离VLAN对应的成员端口进行属性配置,以使任一PVLAN端口接收或转发指定VLAN标识报文,指定VLAN标识报文为VLAN标识与任一PVLAN端口的成员属性配置相匹配的VLAN报文;
转发域设置模块23,配置二层转发域转换表项,分别对主VLAN、群体VLAN和隔离VLAN对应的成员端口收到的报文进行二层转发域转换,以使接收到指定VLAN标识报文的PVLAN端口将指定VLAN标识报文中满足二层转发域转换表项的转发报文向二层转发域包含的所有PVLAN端口转发,以使所有PVLAN端口均能接收到二层转发域转发的转发报文;
非法转发域配置模块24,用于将主VLAN、群体VLAN和隔离VLAN的二层转发域设置为非法二层转发域,以使接收到指定VLAN标识报文的PVLAN端口丢弃指定VLAN标识报文中不满足二层转发域转换表项的报文。
可选地,端口划分模块21具体用于:将主VLAN成员端口加入主VLAN、群体VLAN、隔离VLAN中;将群体VLAN成员端口加入主VLAN、群体VLAN中;将隔离VLAN成员端口加入主VLAN中。
可选地,成员属性配置模块22具体用于:分别设置主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的基于端口的虚拟局域网标识;分别设置PVLAN域内的主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的入口和出口VLAN过滤属性。
可选地,基于端口的虚拟局域网标识为PVID,成员属性配置模块22具体用于:将主VLAN的VLAN标识作为主VLAN成员端口的PVID;将群体VLAN的VLAN标识作为群体VLAN成员端口的PVID;将隔离VLAN的VLAN标识作为隔离VLAN成员端口的PVID。
可选地,成员属性配置模块22具体用于:使能主VLAN成员端口、群体VLAN成员端口的入口VLAN过滤和出口VLAN过滤,用于使主VLAN成员端口对不是主VLAN的标识、群体VLAN的标识或隔离VLAN的标识的VLAN标识的报文进行入口和出口过滤,使群体VLAN成员端口对不是主VLAN的标识、群体VLAN的标识的VLAN标识的报文进行过滤;使能隔离VLAN成员端口的出口VLAN过滤,关闭隔离VLAN成员端口的入口VLAN过滤。
可选地,转发域设置模块23具体用于:在二层转发域转换表项中,将主VLAN成员端口收到报文的VLAN标识为主VLAN的VLAN标识作为第一匹配条件,将第一匹配条件对应的动作设置为将二层转发域的标识设置为包含主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的二层转发域;在二层转发域转换表项中,将群体VLAN成员端口收到报文的VLAN标识为群体VLAN的VLAN标识作为第二匹配条件,将第二匹配条件对应的动作设置为将二层转发域的标识设置为包含主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的二层转发域;在二层转发域转换表项中,将隔离VLAN成员端口收到报文的VLAN标识为隔离VLAN的VLAN标识作为第三匹配条件,将第三匹配条件对应的动作设置为将二层转发域的标识设置为包含主VLAN成员端口、群体VLAN成员端口和隔离VLAN成员端口的二层转发域。
可选地,非法转发域配置模块24具体用于:将主VLAN的二层转发域设置为指定非法二层转发域,其中指定非法转发域不包含任何端口;将群体VLAN的二层转发域设置为指定非法二层转发域;将隔离VLAN的二层转发域设置为指定非法二层转发域。
本申请实施例还提供了一种电子设备,该电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行本实施例提供的PVLAN隔离方法中任一项所述方法中的步骤。
应当理解是,该电子设备可以是个人电脑(personal computer,PC)、平板电脑、智能手机、个人数字助理(personal digital assistant,PDA)等具有逻辑计算功能的电子设备。
本申请实施例还提供了一种可读取存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行PVLAN隔离方法中的步骤。
综上所述,本申请实施例提供了一种PVLAN隔离方法、装置、电子设备及存储介质,所述方法包括:将PVLAN域内的PVLAN端口加入到指定VLAN中,所述指定VLAN包括主VLAN、群体VLAN和隔离VLAN;分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口进行属性配置,用于使任一PVLAN端口接收或转发指定VLAN标识报文,所述指定VLAN标识报文为VLAN标识与所述任一PVLAN端口的成员属性配置相匹配的VLAN报文;配置二层转发域转换表项,分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口收到的报文进行二层转发域转换,用于使接收到所述指定VLAN标识报文的PVLAN端口将所述指定VLAN标识报文中满足二层转发域转换表项的转发报文向所述二层转发域包含的所有PVLAN端口转发,以使所有PVLAN端口均能接收到所述二层转发域转发的所述转发报文;将所述主VLAN、所述群体VLAN和所述隔离VLAN的二层转发域设置为非法二层转发域,用于使接收到所述指定VLAN标识报文的PVLAN端口丢弃所述指定VLAN标识报文中不满足所述二层转发域转换表项的报文。
在上述实现方式中,结合二层转发域转换表项和二层转发域标识配置的方式实现了PVLAN隔离报文发送特性,降低了对芯片硬件的依赖性,使得更多的不支持PVLAN特性的低端交换芯片都能支持PVLAN功能。同时,在支持PVLAN功能时尽可能少的占用芯片硬件资源,减少上层业务的处理逻辑,提高了交换设备性能。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上,框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图中的每个方框、以及框图的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。因此本实施例还提供了一种可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行区块数据存储方法中任一项所述方法中的步骤。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种PVLAN隔离方法,其特征在于,所述方法包括:
将PVLAN域内的PVLAN端口加入到指定VLAN中,所述指定VLAN包括主VLAN、群体VLAN和隔离VLAN;
分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口进行属性配置,用于使任一PVLAN端口接收或转发指定VLAN标识报文,所述指定VLAN标识报文为VLAN标识与所述任一PVLAN端口的成员属性配置相匹配的VLAN报文;
配置二层转发域转换表项,分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口收到的报文进行二层转发域转换,用于使接收到所述指定VLAN标识报文的PVLAN端口将所述指定VLAN标识报文中满足二层转发域转换表项的转发报文向所述二层转发域包含的所有PVLAN端口转发,以使所有PVLAN端口均能接收到所述二层转发域转发的所述转发报文;
将所述主VLAN、所述群体VLAN和所述隔离VLAN的二层转发域设置为非法二层转发域,用于使接收到所述指定VLAN标识报文的PVLAN端口丢弃所述指定VLAN标识报文中不满足所述二层转发域转换表项的报文。
2.根据权利要求1所述的方法,其特征在于,所述将PVLAN域内的PVLAN端口加入到指定VLAN中,包括:
将主VLAN成员端口加入所述主VLAN、所述群体VLAN、所述隔离VLAN中;
将群体VLAN成员端口加入所述主VLAN、所述群体VLAN中;
将隔离VLAN成员端口加入所述主VLAN中。
3.根据权利要求1所述的方法,其特征在于,所述分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口进行属性配置,包括:
分别设置所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的基于端口的虚拟局域网标识;
分别设置所述PVLAN域内的所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的入口和出口VLAN过滤属性。
4.根据权利要求3所述的方法,其特征在于,所述基于端口的虚拟局域网标识为PVID,所述分别设置所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的基于端口的虚拟局域网标识,包括:
将所述主VLAN的VLAN标识作为所述主VLAN成员端口的PVID;
将所述群体VLAN的VLAN标识作为所述群体VLAN成员端口的PVID;
将所述隔离VLAN的VLAN标识作为所述隔离VLAN成员端口的PVID。
5.根据权利要求3或4所述的方法,其特征在于,所述分别设置所述PVLAN域内的所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的入口和出口VLAN过滤属性,包括:
使能所述主VLAN成员端口、所述群体VLAN成员端口的入口VLAN过滤和出口VLAN过滤,用于使所述主VLAN成员端口对不是主VLAN的标识、群体VLAN的标识或隔离VLAN的标识的VLAN标识的报文进行入口和出口过滤,使所述群体VLAN成员端口对不是主VLAN的标识、群体VLAN的标识的VLAN标识的报文进行过滤;
使能所述隔离VLAN成员端口的出口VLAN过滤,关闭所述隔离VLAN成员端口的入口VLAN过滤。
6.根据权利要求4所述的方法,其特征在于,所述配置二层转发域转换表项,分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的成员端口收到的报文进行二层转发域转换,包括:
在二层转发域转换表项中,将所述主VLAN成员端口收到报文的VLAN标识为所述主VLAN的VLAN标识作为第一匹配条件,将所述第一匹配条件对应的动作设置为将所述二层转发域的标识设置为包含所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的二层转发域;
在二层转发域转换表项中,将所述群体VLAN成员端口收到报文的VLAN标识为所述群体VLAN的VLAN标识作为第二匹配条件,将所述第二匹配条件对应的动作设置为将所述二层转发域的标识设置为包含所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的二层转发域;
在二层转发域转换表项中,将所述隔离VLAN成员端口收到报文的VLAN标识为所述隔离VLAN的VLAN标识作为第三匹配条件,将所述第三匹配条件对应的动作设置为将所述二层转发域的标识设置为包含所述主VLAN成员端口、所述群体VLAN成员端口和所述隔离VLAN成员端口的二层转发域。
7.根据权利要求1所述的方法,其特征在于,所述将所述主VLAN、所述群体VLAN和所述隔离VLAN的二层转发域设置为非法二层转发域,包括:
将所述主VLAN的二层转发域设置指定非法转发域,其中所述指定非法转发域不包含任何端口;
将所述群体VLAN的二层转发域设置为所述指定非法转发域;
将所述隔离VLAN的二层转发域设置为所述指定非法转发域。
8.一种PVLAN隔离装置,其特征在于,所述装置包括:
端口划分模块,用于将PVLAN域内的PVLAN端口加入到指定VLAN中,所述指定VLAN包括主VLAN、群体VLAN和隔离VLAN;
成员属性配置模块,用于分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的PVLAN端口进行成员属性配置,以使任一PVLAN端口接收或转发指定VLAN标识报文,所述指定VLAN标识报文为VLAN标识与所述任一PVLAN端口的成员属性配置相匹配的VLAN报文;
转发域设置模块,配置二层转发域转换表项,用于分别对所述主VLAN、所述群体VLAN和所述隔离VLAN对应的PVLAN端口收到的报文进行二层转发域转换,以使接收到所述指定VLAN标识报文的PVLAN端口将所述指定VLAN标识报文中满足二层转发域转换表项的转发报文向二层转发域包含的所有PVLAN端口的转发,以使所有PVLAN端口均能接收到所述二层转发域转发的所述转发报文;
非法转发域配置模块,用于针对所述主VLAN、所述群体VLAN和所述隔离VLAN的二层转发域设置为非法二层转发域,以使接收到所述指定VLAN标识报文的PVLAN端口丢弃所述指定VLAN标识报文中不满足所述二层转发域转换表项的报文。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器运行所述程序指令时,执行权利要求1-7中任一项所述PVLAN隔离方法中的步骤。
10.一种可读取存储介质,其特征在于,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-7任一项所述PVLAN隔离方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911290667.9A CN110933106B (zh) | 2019-12-13 | 2019-12-13 | Pvlan隔离方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911290667.9A CN110933106B (zh) | 2019-12-13 | 2019-12-13 | Pvlan隔离方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110933106A true CN110933106A (zh) | 2020-03-27 |
CN110933106B CN110933106B (zh) | 2022-03-22 |
Family
ID=69862619
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911290667.9A Active CN110933106B (zh) | 2019-12-13 | 2019-12-13 | Pvlan隔离方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110933106B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112804131A (zh) * | 2021-01-08 | 2021-05-14 | 上海自恒信息科技有限公司 | 一种基于vlan构造的访问控制方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101707545A (zh) * | 2009-11-06 | 2010-05-12 | 中兴通讯股份有限公司 | 一种实现私有虚拟局域网的方法和系统 |
CN101729355A (zh) * | 2009-12-08 | 2010-06-09 | 中兴通讯股份有限公司 | 一种专用虚拟局域网的实现方法和装置 |
CN103795631A (zh) * | 2012-10-30 | 2014-05-14 | 杭州华三通信技术有限公司 | 部署了以太网虚拟连接的网络中的流量转发方法及设备 |
WO2016091098A1 (zh) * | 2014-12-12 | 2016-06-16 | 中兴通讯股份有限公司 | 实现路由接口二层隔离和三层互通的方法及网络设备 |
WO2016197787A2 (zh) * | 2016-03-02 | 2016-12-15 | 中兴通讯股份有限公司 | 一种接入控制方法和装置 |
-
2019
- 2019-12-13 CN CN201911290667.9A patent/CN110933106B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101707545A (zh) * | 2009-11-06 | 2010-05-12 | 中兴通讯股份有限公司 | 一种实现私有虚拟局域网的方法和系统 |
CN101729355A (zh) * | 2009-12-08 | 2010-06-09 | 中兴通讯股份有限公司 | 一种专用虚拟局域网的实现方法和装置 |
CN103795631A (zh) * | 2012-10-30 | 2014-05-14 | 杭州华三通信技术有限公司 | 部署了以太网虚拟连接的网络中的流量转发方法及设备 |
WO2016091098A1 (zh) * | 2014-12-12 | 2016-06-16 | 中兴通讯股份有限公司 | 实现路由接口二层隔离和三层互通的方法及网络设备 |
WO2016197787A2 (zh) * | 2016-03-02 | 2016-12-15 | 中兴通讯股份有限公司 | 一种接入控制方法和装置 |
Non-Patent Citations (1)
Title |
---|
林初建等: "基于非对称VLAN的端口隔离技术研究与应用", 《华东师范大学学报(自然科学版)》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112804131A (zh) * | 2021-01-08 | 2021-05-14 | 上海自恒信息科技有限公司 | 一种基于vlan构造的访问控制方法 |
CN112804131B (zh) * | 2021-01-08 | 2021-12-07 | 上海自恒信息科技有限公司 | 一种基于vlan构造的访问控制方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110933106B (zh) | 2022-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100920518B1 (ko) | 패킷 분류 장치 및 방법 | |
US9203735B2 (en) | Packet forwarding apparatus and method | |
US10193861B2 (en) | Method and apparatus for best effort propagation of security group information | |
US7813337B2 (en) | Network packet processing using multi-stage classification | |
US7474654B2 (en) | Method and system for classification of packets based on meta-rules | |
EP2192725B1 (en) | Packet switch being partitioned into virtual LANs (VLANs) | |
US8054833B2 (en) | Packet mirroring | |
EP1678912B1 (en) | Method and apparatus for providing network security using role-based access control | |
CN108809836B (zh) | 组播数据报文转发方法及装置 | |
USRE42135E1 (en) | Multi-protocol data classification using on-chip cam | |
US20020091795A1 (en) | Method and system of aggregate multiple VLANs in a metropolitan area network | |
US20130114619A1 (en) | Device and method for egress packet forwarding using mesh tagging | |
TWI316803B (en) | Network switch and method for processing packets of a vlan in a network switch | |
WO2020168905A1 (zh) | 一种数据传输方法、节点以及系统 | |
CN110933106B (zh) | Pvlan隔离方法、装置、电子设备及存储介质 | |
CN110808924B (zh) | 芯片环回报文处理方法、装置及存储介质 | |
CN103780630B (zh) | 虚拟局域网端口隔离方法及系统 | |
CN108632176B (zh) | 堆叠系统、pe设备及报文转发方法 | |
CN106973016B (zh) | 访问控制方法、装置及设备 | |
KR100462853B1 (ko) | 가상사설망 서비스 및 가입자 구분이 가능한레이블에지라우터의 라인 프로세서에서의 데이터 처리방법 | |
CN114301680B (zh) | 一种安全策略的匹配方法及装置、存储介质 | |
JP2008227695A (ja) | パケット通信システムおよびパケット通信方法 | |
US11502872B1 (en) | Isolation of clients within a virtual local area network (VLAN) in a fabric network | |
CN111181870B (zh) | 一种基于网络处理器实现多业务规则共享的方法 | |
US11316828B2 (en) | Networking sub-ranges |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |